安全模型和体系结构(共7页).doc

精选优质文档-倾情为你奉上安全模型和体系结构一、快速提示 ·系统可以有完全相同的硬件、软件和应用，但却会因为系统建立在不同的安全策略 和安全模型之上而提供不同的保护级别。 ·CPU包括一个控制单元，它控制指令和数据执行的时序；一个ALU（算术逻辑单 元)，它执行算术功能和逻辑操作。 ·绝大多数系统部使用保护环(protection ring）。进程的特权级别越高，则运行在编号越小的保护环中，它就能访问全部或者大部分的系统资源。应用运行在编号越大的保护环中它能访问的资源就越少。 ·操作系统的进程运行在特权或监控模式中，应用运行在用户模式中，也称为“问题”状态。 ·次级存储(second storage)是永久性的，它可以是硬盘、CDROM、软驱、磁带备份或者Zip驱动器。 ·虚存（virtual storage)由RAM和次级存储所构成，系统因此显得具有很大一块存储器。 ·当两个进程试图同时访问相同的资源，或者一个进程占据着某项资源而且不释放的时候，就发生了死锁情况。 ·安全机制着眼于不同的问题，运行于不同的层次，复杂性也不尽相同。 ·安全机制越复杂，它能提供的保险程度就越低。 ·并不是所有的系统组成部分都要处于TCB范围内：只有那些直接以及需要实施安全策略的部件才是。·构成TCB的组成部分有硬件、软件、回件，因为它们都提供了某种类型的安全保护功能。·安全边界(security perimeter)是一个假想的边界线，可信的部件位子其中(那些构成TCB的部件)，而不可信的部件则处于边界之外。·引用监控器(reference monitor)是一个抽象机，它能确保所有的主体在访问客体之前拥有必要的访问权限。因此，它是主体对客体所有访问的中介。·安全核心(security kernel)是实际落实引用监控器规则的机制。·安全核心必须隔离实施引用监控概念的进程、必须不会被篡改、必须对每次访问企图调用引用监控，而且必须小到足以能正确地测试。·安全领域（security domain)是一个主体能够用到的全部客体。·需要对进程进行隔离，这可以通过内存分段寻址做到。·安全策略(security policy)是一组规定如何管理、保护和发布敏感数据的规则。它给出了系统必须达到的安全目标。·系统提供的安全水平取决于它落实安全策略的程度有多大。·多级安全系统能受理属于不同类别(安全水平）的数据，具有不同访问级（安全水平)的用户能够使用该系统。·应该赋予进程最小的特权，以便使其具有的系统特权只够履行它们的任务，没有多余。·有些系统提供在系统不同层次上的功能，这称为分层。这就将进程进行了分离，给单个进程提供了更多的保护。·数据隐藏是指，当处于不同层次上的进程彼此互不知晓，因此也就没有办法互相通信。这就给数据提供了更多的保护。·给一类客体分配权限，称之为抽象化(abstraction)。·安全模型(security model)将安全策略的抽象目标映射到计算机系统的术语和概念上。它给出安全策略的结构，并且为系统提供一个框架。·Bell-LdPadula模型只解决机密性的要求，Biba和ClarkWilson则解决数据完整性的要求。·状态机模型处理一个系统能够进入的不同状态。如果一个系统开始是在一个安全状态下，在该系统中发生的全部活动都是安全的，那么系统就决不会进入一个不安全的状态。·格(Lattice)给授权访问提供了上界和下界。·信息流安全模型不允许数据以一种不安全的方式流向客体。·Bell-LaPadula模型有一条简单安全规则，意思是说，主体不能从更高级别读取数据(不能向上读)。*-特性规则的意思是说，主体不能向更低级别写数据(不能向下写)。强星特性规则是指一个主体只能在同一安全等级内读和写，不能高也不能低。·Biba模型不允许主体向位于更高级别的客体写数据(不能向上写)，它也不允许主体从更低级别读取数据(不能向下读)。这样做是为了保护数据的完整性。·Bell-LaPadula模型主要用在军事系统中，Biba和ClarkWilson模型则用于商业部门。·Clark-Wilson模型要求主体通过经批准的程序、职责分割以及审计来访问客体。·如果系统在一个专门的安全模式中运行，那么系统只能处理一级数据分级，所有的用户都必须具有这一访问级，才能使用系统。·分段的(compartmented)和多级的(multilevel)安全模式让系统能够处理划入不同分类级别上的数据。·可信（trust)意味着系统正确地使用其全部保护机制来为许多类型的用户处理敏感数据。保险(assurance)是你在这种信任关系中具有的信心水平，以及保护机制在所有环境中都能持续正确运行。·在不同评测标准下，较低的评定级别评审的是系统性能及其测试结果，而较高的评定级别不但考察这一信息，而且还有系统设计、开发过程以及建档工作。·橘皮书(orange Book)也称为可信计算机系统评测标准(TCSEC)，制定该标准是为了评测主要供军用的系统。·在橘皮书中，D组表示系统提供了最小的安全性，它用于被评测，但不能满足更高类别标准的系统。·在橘皮书中，C组涉及自主保护(须知)，B组涉及强制保护(安全标签）。·在橘皮书中，A组意味着系统的设计和保护水平是能够验证核实的，它提供了最高水平的安全性和可信度。·在橘皮书中，C2级要求客体重用保护和审计。·在橘皮书中，B1级是要求有安全标签的第一个级别。· 在橘皮书中，B2级要求所有的主体和设备具有安全标签，必须有可信通路(trusted path)和隐蔽通道(covert channel)分析，而且要提供单独的系统管理功能。·在橘皮书中，B3级要求发送安全通知，要定义安全管理员的角色，系统必须能在不威胁到系统安全的情况下恢复。·在橘皮书中，C1描述基于个人和（或)组的访问控制。它需要区分用户和信息并依赖实体的标识和认证。·橘皮书主要涉及到操作系统，所以还编写了一系列书籍，涵盖了安全领域内的其他方面；这些书籍称为彩虹系列(Rainbow Series)。·红皮书(Red Book），即可信网络解释(Trusted Network Interpretation, TNI),为网络和网络部件提供了指导。·信息技术安全评测标准(ITSEC)显示出欧洲国家在试图开发和使用一套而不是几套评测标准。·ITSEC分别评测系统的保险程度和功能性，而TCSEC将两者合到了一个级别中。·通用准则(common Criteria)的制定提供了一个得到公认的评测标准，而且现如今还在使用。它将TCSEC、ITSEG、CTCPEC和联邦标准(Federal Criteria)的各部分结合了起来。·通用准则使用了保护样板(protection profile)和从EALI到EAL7的级别。·认证(certification)是对系统及其及全部件的技术评测。认可（accreditation）是管理层正式批准和接受系统所提供的安全保障。·开放系统提供了与其他系统和产品更好的互操作性，但是提供的安全级别却更低。封闭系统运行在专有的环境中，它降低了系统的互操作性和功能，但是却提供了更高的安全性。·隐蔽通道(covert channel)是一条通信路径，它传输数据的方式违反了安全策略。隐蔽通道有两种类型：计时隐蔽通道和存储隐蔽通道。·隐蔽计时通道(covert timing channel)使得进程能够通过调整它对系统资源的使用来向其他进程传递信息。·隐蔽存储通道(covert timing channel)使得进程能够把数据写入存储介质，从而让其他进程能够读取到它。·后门(backdoor)，也称为维护分支(maintenance hook)，是用来让程序员迅速进入应用，维护或者增加功能。后门应该在应用投入使用之前删除，否则它会造成严重的安全风险。·执行领域(execution domain)是CPU执行指令的地方。操作系统的指令是以特权模式执行的，而应用的指令是以用户模式执行的。·进程隔离(process isolation)确保了多个进程能够并发运行，进程不会彼此互相干扰或者影响彼此的存储段。·只有需要全部系统特权的进程才会位于系统的内核中。·一个状态机处理一个安全级别。多状态机能够处理两个或者更多的安全级别，而不会有威胁系统安全的风险。·强制类型定义表明要强制实行抽象数据类型。· TOC/TOU代表“time一of一check和time一of一use”。这是一类异步攻击。·Biba模型是以完整性级别具有层次结构的格(lattice)为基础的。·Biba模型解决了完整性的第一个目标，即防止未经授权的用户进行修改。·Clark一Wilson模型解决了完整性的所有三个目标：防止未经授权的用户进行修改、防止授权的用户进行不恰当的修改，以及通过审计维护内外的一致性。·在Clark一Wilson模型中，用户只能通过程序访问和操控客体。它使用访问三元组，即主体-程序-客体。 ·ITSEC是为欧洲国家制定的。它不是一个国际性的评测标准。二、习题 请记住，这些问题的格式及提问的方式都是有原因的。问题和答案似乎显得奇特或者说模棱两可，但这就是你将会看到的真实的考试。1. What flaw creates buffer overflows?A. Application executing in privileged modeB. Inadequate memory segmentationC. Inadequate protection ring useD. Insufficient parameter checking2. The operating system performs all except which of the following tasks?A. Memory allocationC. Resource allocationB. Input and output tasksD. User access to database views3. If an operating system allows sequential use of an object without refreshing it, whatsecurity issue can arise? A. Disclosure of residual data B. Unauthorized access to privileged processes C. Data leakage through covert channels D. Compromising the execution domain4. What is the final step in authorizing a system for use in an environment? A. Certification B. Security evaluation and rating C. Accreditation D. Verification5. What feature enables code to be executed without the usual security checks? A. Antivirus software B. Maintenance hook C. Timing channel D. Ready state6. If a component fails, a system should be designed to do which of the following? A. Change to a protected execution domain B. Change to a problem state C. Change to a more secure state D. Release all data held in volatile memory7. What security advantage does firmware have over software'? A. it is difficult to modify without physical access. B. It requires a smaller memory segment. C. It does not need to enforce the security policy. D. It is easier to reprogram.8. Which is the first level of the Orange Book that requires classification labeling of data? A. B3 B. B2 C. B1 D. C29. Which of the following best describes the reference monitor concept? A. A software component that monitors activity and writes security events to an audit log B. A software component that determines if a user is authorized to perform a requested C. A software component that isolates processes and separates privilege and user modes D. A software component that works in the center protection ring and provides interfaces10. The Information Technology Security Evaluation Criteria was developed for which of the following?A. International use B.U.S. useC. European use D. Global use11. A security kernel contains which of the following? A. Software, hardware, and firmware B. Software, hardware, and system design C. Security policy, protection mechanisms, and software D. Security policy, protection mechanisms, and system design12. What characteristic of a trusted process does not allow users unrestricted access to sensitive data? A. Process isolation enforcement B. Security domain enforcement C. Need-to-know enforcement D. TCB enforcement13. The Orange Book states that a system should uniquely identify each user for accountability purposes and A. Require the user to perform object reuse operations B. Associate this identity with all auditable actions taken by that individual C. Associate this identity with all processes the user initiates D. Require that only that user have access to his specific audit information14. The trusted computing base (TCB) controls which of the following? A. All trusted processes and software components B. All trusted security policies and implementation mechanisms C. All trusted software and design mechanisms D. All trusted software and hardware components15. What is the imaginary boundary that separates components that maintain security from components that are not security related? A. Reference monitor B. Security kernel C. Security perimeter D. Security policy16. Which model deals only with confidentiality? A. Bell-LaPadula B. Clark-Wilson C. Biba D. Reference monitor17. What is the best description of a security kernel from a security point of view? A. Reference monitor B. Resource manager C. Memory mapper D. Security perimeter18. When is security of a system most effective and economical? A. If it is designed and implemented from the beginning of the development Of the system B. If it is designed and implemented as a secure and trusted front end C. If it is customized to fight specific types of attacks D. If the system is optimized before security is added19. In secure computing systems, why is there a logical form of separation used between processes? A. Processes are contained within their own security domains so that each does not make unauthorized accesses to other objects or their resources. B. Processes are contained within their own security perimeter so that they can only access protection levels above them. C. Processes are contained within their own security perimeter so that they can only access protection levels equal to them. D. The separation is hardware and not logical in nature.20. What type of attack is taking place when a higher level subject writes data to a storage area and a lower level subject reads it? A. TOC/TOU B. Covert storage attack C. Covert timing attack D. Buffer overflow21. What type of rating does the Common Criteria give to products? A. PP B. EPL C. EAL D. A-D22. Which best describes the * -integrity axiom? A. No write up in the Biba model B. No read down in the Biba model C. No write down in the Bell-LaPadula model D. No read up in the Bell-LaPadula model23. Which best describes the simple security rule? A. No write up in the Biba model B. No read down in the Biba model C. No write down in the Bell-LaPadula model D. No read up in the Bell-LaPadula model24. Which of the following was the first mathematical model of a multilevel security policy used to define the concept of a security state, modes of access, and outlines rules of access? A. Biba B. Bell-LaPadula C. Clark-Wilson D. State machine25Which Of the following is not a characteristic 0f the BellLaPadula model? AConfidentiality model BIntegrity model CDeveloped and used by the USDoD DFirst mathematical multilevel security model三、答案1D。缓冲区溢出发生在太多的数据作为输入而无法接受时。程序员应该通过适当的安全控制防止缓冲区溢出的发生，意味着他们需要执行边界检查，检查参数确保只有允许数量的数据才可以被接受和处理。2D。操作系统有一长串的责任，但是实现数据库视图不是操作系统的责任，而是数据库管理软件的职责。3A。如果一个对象包含机密的数据，在其他主体可以访问之前，这些数据没有被擦除，那么残留的数据就可能被攻击者读取，可能导致系统或数据的安全被破坏或者机密信息泄露。4C。认证是对一个产品的技术评论，而认可(Accreditation)是管理层正式地批复这个认证过程。这一问题问你，在一个环境中实际使用系统之前，哪一步是系统授权的最后一步，这也是认可工作所要求的。5B。维护分支(Maintenance hooks)可以越过系统或应用的安全和访问控制检查，允许知道特定序列的任何人访问应用，甚至访问代码。在任何代码投入生产之前，必须清除所有的维护分支。6C。状态机模型描述了一个系统应该从安全状态启动，执行安全的状态转移，即便失败也要停留在一个安全状态。这意味着，如果一个系统遇到了它认为不安全的事件时，它应该改变到一个更安全的状态以自我保护和防范。7A。固件是烧制到ROM或EROM芯片中的一种软件，一般用于计算机和外部设备的通信。系统，BIOS指令也在主板的固件里，绝大多数情况下，固件是不可修改的，除非有人可以物理访问该系统。固件不像其他软件可以远程修改。8C。这些保险度级别来自于橘皮书。B级和B级以上要求使用安全标签，不过这个问题是问哪个是第一个要求安全标签的级别。Bl在B2和B3之前，显然是正确的答案。9B。引用监控器是一个抽象的机器，它包含系统所有的访问控制规则。安全内核是一个活动实体，它执行引用监控器的规则，控制主体的所有访问，用户是主体的一个特例。10C。在ITSEC中，I代表信息(Information)而不是国际(International)。这一标准是欧洲国家开发的，用于对他们的安全产品进行分类和评估。11A。安全内核主要由TCB组成，一般包括软件、硬件和固件。安全内核执行许多不同的活动以保护系统，执行引用监控器的规则只是这些活动中的一种。12C。一个执行needtoknow的系统不允许主体访问一个客体，除非它基于needtoknow规则被正式授权。这一问题针对基于MAC：的系统，一般使用安全标签、安全类别和分类作为判断访问权限的依据。13B。适当的安全实现包括跟踪个人和他们的操作。用户需要惟一的标识，以便跟踪到他们每个人的活动。如果所有的用户都以user001登录到系统中，系统将永远不能分清哪个用户实际执行了某一特定的操作。14D。TCB包含并控制系统中的所有保护机制，无论它们是硬件、软件还是固件。15C。安全边界是TCB和非TCB之间的边界，它描述了两组项目之间的边界。16A。BellLaPadula模型是为美国国防部开发的安全模型，其主要目标是防止非授权的实体访问或看到敏感的信息：该模型是多级安全策略的第一个数学模型，用于定义安全状态、访问模式和访问规则。Biba和C1arkWilson模型不关心机密性，而是完整性。17A。安全内核是操作系统内核的一部分，它执行引用监控器规定的规则。它是规则的实施者，每个主体请求客体时都要调用安全内核。操作系统的部分内核是资源管理器，而不是安全内核，内存映像也是操作系统内核的一部分功能，安全边界确定了哪些是TCB哪些不是。18A。在一个产品的开发末期，或者在一个现有系统的前端增加有用的、高效的安全措施是非常困难的。在项目的末期增加安全通常耗费巨大，因为这将打断项目和开发团队的工作，使他们重新回到设计阶段重新设计系统，并且重新编写很大一部分的代码。19A。进程被赋予它自己的变量、系统资源、内存段，构成了自己的域，以防止它破坏其他进程的数据或干扰其他进程的活动。20B。隐蔽通道是指，有些进程使用某种资源进行通信，而这种资源并非为此目的而创建。一个进程可以向某种共享介质或存储空间写东西，另一个进程从这个空间读信息，这一过程违背了系统的安全策略。21C。通用准则使用不同于其他评估标准的保险度级别系统，它包含成套的规格，产品必须满足这些规格要求才能达到相应的级别。这些级别和包被称作评估保险度级别(EAL)。一旦一个产品实现了任何级别，客户可以在EP。(Evaluated Products List)中看到这些信息。22A。*-完整性公理(或星完整性公理)描述了，一个低完整性级别的主体不能写一个更高完整性级别的客体，这一规则是为了保护高级别数据的完整性。23D。实现安全规则是为了确保任何安全级别较低的主体不能查看安全级别高的数据，实施这种安全规则是为了保护安全级别较高数据的保密性，该规则用在BellLaPadula模型中。记住，简单规则规定读操作，*或星规则用于规定写操作。24B。这是BellLaPadula模型的形式化定义，创建该模型的目的是保护政府和军事信息的机密性。25B。BellLaPadtlla安全模型是第一个基于状态自动机的数学模型，用于描述多级安全策略的安全系统。美国开发该模型主要出于保护机密信息的考虑，因此这是一个保密模型，没有考虑完整性。专心-专注-专业